Bulletin-ID
Zuletzt aktualisiert am
28. November 2023
Sicherheits-Updates für Adobe ColdFusion verfügbar | APSB23-52
|
|
Veröffentlichungsdatum |
Priorität |
|
APSB23-52 |
14. November 2023 |
3 |
Zusammenfassung
Adobe hat Sicherheits-Updates für ColdFusion, Version 2023 und 2021, veröffentlicht. Diese Updates beheben kritische, wichtige und mittelschwere Schwachstellen, die zur Ausführung von beliebigem Code und zur Umgehung von Sicherheitsfunktionen führen können.
Betroffene Versionen
|
Produkt |
Updatenummer |
Plattform |
|
ColdFusion 2023 |
Update 5 und ältere Versionen |
Alle |
|
ColdFusion 2021 |
Update 11 und ältere Versionen |
Alle |
Lösung
Adobe stuft die Priorität dieser Updates wie nachstehend ein und empfiehlt die Installation allen Anwendern:
|
Produkt |
Aktualisierte Version |
Plattform |
Priorität |
Verfügbarkeit |
|---|---|---|---|---|
|
ColdFusion 2023 |
Update 6 |
Alle |
3 |
|
|
ColdFusion 2021 |
Update 12 |
Alle |
3 |
Hinweis:
Weitere Informationen zum Schutz vor unsicheren WDDX-Deserialisierungsangriffen finden Sie unter https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html
Sicherheitslückendetails
|
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
CVSS-Basispunktzahl |
CVE-Nummern |
|
|
Deserialisierung nicht vertrauenswürdiger Daten (CWE-502) |
Willkürliche Ausführung von Code |
Kritisch |
9.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
CVE-2023-44350 |
|
Unzulässige Zugriffskontrolle (CWE-284) |
Umgehung der Sicherheitsfunktionen |
Kritisch |
7,5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-26347 |
|
Deserialisierung nicht vertrauenswürdiger Daten (CWE-502) |
Willkürliche Ausführung von Code |
Kritisch |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-44351 |
|
Cross-Site-Scripting (Reflektiertes XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
6.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-44352 |
|
Deserialisierung nicht vertrauenswürdiger Daten (CWE-502) |
Willkürliche Ausführung von Code |
Wichtig |
5.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
CVE-2023-44353 |
|
Unangemessene Eingabevalidierung (CWE-20) |
Willkürliche Ausführung von Code |
Mittel |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-44355 |
Danksagung:
Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und für die Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden.
- Brian Reilly - CVE-2023-44350, CVE-2023-44355
- Daniel Jensen - CVE-2023-44351
- pwnii (pwnwithlove) - CVE-2023-44352
- McCaulay Hudson - CVE-2023-44353
- Matthew Galligan und Jon Cagan, CISA - CVE-2023-26347
HINWEIS: Adobe hat ein privates, nur für Einladungen bestimmtes Bug-Bounty-Programm mit HackerOne. Wenn Sie an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert sind, füllen Sie bitte dieses Formular aus, um die nächsten Schritte einzuleiten.
Hinweis:
Adobe empfiehlt, Ihre ColdFusion JDK/JRE LTS-Version auf die neueste Update-Version zu aktualisieren. Sehen Sie in der unten stehenden ColdFusion-Support-Matrix nach, welche JDK-Version von Ihnen unterstützt wird.
ColdFusion – Unterstützungsübersicht:
CF2023: https://helpx.adobe.com/pdf/coldfusion2023-suport-matrix.pdf
CF2021: https://helpx.adobe.com/pdf/coldfusion2021-support-matrix.pdf
Wenn das ColdFusion-Update ohne das entsprechende JDK-Update angewendet wird, wird der Server NICHT geschützt. Weitere Einzelheiten finden Sie in den technischen Hinweisen.
Adobe empfiehlt zudem, dass Anwender die Sicherheitskonfigurationseinstellungen verwenden, die in der ColdFusion-Hilfe beschrieben sind, und die Informationen in den jeweiligen Lockdown Guides beachten.
ColdFusion JDK-Anforderung
ColdFusion 2023 (Version 2023.0.0.330468) und höher
Für Anwendungsserver
Bei JEE-Installationen das folgende JVM-Flag festlegen: "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**" in der Startdatei des verwendeten Anwendungsservers.
Beispiel:
Apache Tomcat Anwendungsserver: editieren Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungsserver: editieren Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungsserver: editieren Sie JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags bei einer JEE-Installation von ColdFusion, nicht bei einer Standalone-Installation.
COLDFUSION 2021 (Version 2021.0.0.323925) und höher
Für Anwendungsserver
Setzen Sie in JEE-Installationen das JVM-Flag “-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**;!org.jgroups.**;!com.sun.rowset.**"
in der Startdatei des verwendeten Anwendungsservers.
Beispiel:
Apache Tomcat Anwendungsserver: Bearbeiten Sie JAVA_OPTS in der Datei „Catalina.bat/sh“
WebLogic Anwendungsserver: Bearbeiten Sie JAVA_OPTIONS in der Datei „startWeblogic.cmd“
WildFly/EAP Anwendungsserver: Bearbeiten Sie die JAVA_OPTS in der Datei „standalone.conf“
Setzen Sie die JVM-Flags in einer JEE-Installation von ColdFusion, nicht in einer eigenständigen Installation.
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com
